Das EU-U.S. Data Privacy Framework
Nach einer Abstimmung des Europäischen Rats über den Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“, (24 Stimmen dafür und 3 Enthaltungen) stimmte am 10.7.2023 auch die Europäische Kommission diesem zu.
Was bedeutet dies?
Der Europäische Gerichtshof (EuGH) erklärte im Juli 2020 den damalig gültigen Angemessenheitsbeschluss „Privacy Shield“ zwischen der EU und den USA für unwirksam. Somit verloren die USA ihren Status als Drittland mit einem angemessenen Datenschutzniveau. Aufgrund dieser Aufhebung wurde ein Transfer von personenbezogenen Daten in die USA erschwert, da es nicht mehr genügte, dass Datenempfänger in den USA nach dem Privacy Shield zertifiziert waren. Der EuGH entschied damals auch, dass das alleinige Abschließen von Standardvertragsklauseln („SCC“) nicht mehr ausreicht, um personenbezogene Daten DSGVO-konform in die USA zu übermitteln, sondern zusätzliche Maßnahmen ergriffen werden müssen. Dies stellte in der Praxis eine große Herausforderung an die Datenübermittlung in die USA dar. Basierend auf dem neuen EU-U.S. Data Privacy Framework wird es nun möglich sein, personenbezogene Daten ohne weitere Maßnahmen an Empfänger zu schicken, die entsprechend dem neuen Abkommen zertifiziert sind. Es handelt sich also um einen Angemessenheitsbeschluss, der nur für jene Datenempfänger anwendbar ist, die gemäß dem EU-U.S. Data Privacy Framework zertifiziert sind.
Ab wann ist der Angemessenheitsbeschluss anwendbar?
Der Angemessenheitsbeschluss trat am 10.7.2023 in Kraft.
Wie lange gilt der Angemessenheitsbeschluss?
Der Angemessenheitsbeschluss hat keine beschränkte Geltungsdauer. Die Kommission führt jedoch gemeinsam mit Vertreter:innen der Datenschutzbehörden und den zuständigen US-Behörden in regelmäßigen Abständen Überprüfungen des Abkommens durch. Innerhalb des ersten Jahres ab Anwendbarkeit des Angemessenheitsbeschlusses soll die erste Überprüfung des Abkommens erfolgen. Dabei wird evaluiert, ob alle relevanten Maßnahmen vollständig in das Rechtssystem der USA implementiert worden sind und in der Praxis effektiv funktionieren.
Ist sonst noch was zu beachten?
Die Organisation NOYB (none of your business) kündigte bereits an, rechtliche Schritte gegen das neue Abkommen einzuleiten und dieses, wie bereits bei den vergangenen EU-USA Abkommen, über den Transfer von personenbezogenen Daten vor den Europäischen Gerichtshof zu bringen. Dadurch soll eine Überprüfung dahingehend veranlasst werden, ob das neue Abkommen den in den Entscheidungen „Schrems I“ und „Schrems II“ definierten Anforderungen entspricht. Die Hauptkritik am neuen Angemessenheitsbeschluss liegt darin, dass sich die Rechtslage in den USA, die zur Aufhebung des Privacy Shield geführt hat, in der Zwischenzeit kaum geändert hat.
Für eine auf den Angemessenheitsbeschluss gestützte Datenübermittlung in die USA wird zu prüfen sein, ob der Datenempfänger gemäß dem EU-U.S. Data Privacy Framework zertifiziert und die Zertifizierung auf den konkreten Sachverhalt anwendbar ist. Soweit das EU-U.S. Data Privacy Framework bzw. der Angemessenheitsbeschluss auf eine konkrete Datenübermittlung in die USA nicht anwendbar sein sollte, wird es im Rahmen der EuGH-Judikatur wie bisher erforderlich sein, mit dem Datenempfänger Standardvertragsklauseln abzuschließen und zusätzliche Sicherheitsmaßnahmen zu vereinbaren.
Sollten Sie Rückfragen haben oder Unterstützung beim Transfer von personenbezogenen Daten in die USA oder bei sonstigen datenschutzrechtlichen Themen benötigen, stehen Ihnen unsere Expert:innen gerne zur Verfügung!
Autoren:
Reinhard Hübelbauer |
Thomas Simon thomas.simon@bdo.at +43 5 70 375 - 1834 |
Abonnieren Sie die neuesten Nachrichten von BDO!
Please fill out the following form to access the download.